标记为“勒索”的条目

第1页共3页

基于密码盗窃的合理巧妙勒索电子邮件

想象一下,你已经掌握了一个包含电子邮件地址和密码的文件。你想把它货币化,但它的目的地不是很有价值。你怎么用它?你说服密码的拥有者给你寄钱。

我最近看到一封垃圾邮件,把密码和色情网站联系在一起。电子邮件标题包含密码,这一定会引起收件人的注意。

我知道,伊哈阿布,是您的密码。你可能不认识我,你很可能在想你为什么收到这封邮件,正确的?

事实上,我在成人视频剪辑(色情材料)网站上设置了一个恶意软件,你知道吗,你访问这个网站是为了好玩(你知道我的意思)。当你看视频的时候,您的Web浏览器开始作为RDP(远程桌面)运行,它有一个键记录器,可以让我访问您的显示器和Web摄像机。之后,我的软件从您的通讯器中获取了您的全部联系人,社交网络,还有电子邮件。

我到底做了什么?

我制作了一个双屏视频。第一部分展示了你正在观看的视频(你很有品味;)),请第二部分显示网络摄像头的录制。

你应该怎么做?

好,我相信,2900美元是我们这个小秘密的合理价格。你将通过比特币支付(如果你不知道,搜索“如何购买比特币”在谷歌)。

这很聪明。有效密码建立合法性。收信人很有可能访问过色情网站,可能还设置了一个他们不记得密码的帐户。RDP攻击是合理的,打开相机并下载联系人文件。

当然,这一切都失败了,因为没有足够的细节。如果攻击者真的这么做了,他们将包括色情网站的名称,并附上视频文件。

但这是个聪明的攻击,还有一个我以前没见过的。如果攻击者要求一个数量级的减价,我想他们会赚更多。

编辑添加:Brian Krebs书面关于这个,也一样。

发表于7月16日,2018年上午6:30查看评论

勒索软件的未来

勒索软件不是新的,但它越来越受欢迎,也越来越有利可图。

这个概念很简单:你的电脑感染了病毒,病毒会对你的文件进行加密,直到你支付赎金。它的敲诈勒索已经达到了网络化的极限。罪犯们一步一步地指导如何付款,有时甚至为不确定如何购买比特币的受害者提供帮助热线。价格设计得足够便宜,人们可以支付而不是放弃:在许多情况下,几百美元。设计这些系统的人知道他们的市场,这是一个有利可图的。

有一套勒索工具150多个国家的受影响系统最近,万纳克里,制造的上周的头条新闻,但它似乎并不比其他勒索工具更具杀伤力或更昂贵。这本书有一个特别有趣的谱系:它基于一个弱点由国家安全局开发它可以用于许多版本的Windows操作系统。国家安全局的密码是,反过来,被一个被称为影子经纪人的未知黑客组织窃取-被安全界广泛相信成为俄国人…2014年和向公众发布四月份。

微软修补了漏洞一个月前,大概是在国家安全局通知泄漏即将发生之后。但该漏洞影响了微软不再支持的旧版本的Windows,还有很多人和组织不定期地修补他们的系统。这使得写下Wannacry的人——从一个孤独的人到一个有组织犯罪集团——都可以利用它感染电脑并敲诈用户。

对用户来说,教训是显而易见的:保持系统补丁的最新状态,并定期备份数据。这不仅仅是防御勒索软件的好建议,但总的来说是好的建议。但它已经过时了。

一切都变成了一台计算机。你的微波炉是一台能加热东西的电脑。你的冰箱是一台电脑,可以让东西保持冷。你的车和电视,你们城市和我们国家电网的交通灯和信号灯都是计算机。这就是大肆宣传的物联网(IOT)。它来了,它比你想象的要快。当这些设备连接到互联网时,他们变得脆弱勒索软件和其他计算机威胁。

只是时间问题,人们才会在汽车屏幕上收到消息,说发动机已被禁用,重新启动需要花费200美元的比特币。或者在他们的手机上看到类似的信息:如果你今晚想进你的房子,就付100美元。或者,如果他们想让他们的嵌入式心脏除颤器继续工作,就要多付很多钱。

这不仅仅是理论上的。研究人员已经已经演示过了勒索软件攻击智能恒温器,一开始可能听起来很讨厌,但如果室外足够冷,可能会造成严重的财产损失。如果被攻击的设备没有屏幕,你将在你控制的智能手机应用程序上收到信息。

黑客甚至不必自己想出这些想法;那些代码被偷的政府机构已经开始这么做了。中情局泄露的攻击工具之一目标支持互联网的三星智能电视。

更糟的是,通常的解决方案不适用于这些嵌入式系统。你没有办法备份你冰箱的软件,如果攻击的目标是设备的功能而不是存储的数据,那么这个解决方案是否有效还不清楚。

这些设备将长期存在。不像我们的手机和电脑,每隔几年更换一次,汽车预计至少能使用十年。我们希望我们的设备能运行20年或更长时间,我们的恒温器更长。

当制造智能洗衣机的公司——或者只是电脑部门——倒闭时会发生什么?或者他们决定不再支持旧型号?早在XP时代,Wannacry就影响了Windows版本,微软不再支持的版本。该公司打破了政策,为那些老系统发布了一个补丁,但它既有工程技术人才,又有资金。

在低成本物联网设备上不会发生这种情况。

这些设备都是廉价的,而制造它们的公司并没有专门的安全工程师团队准备好制作和分发安全补丁。物联网的经济不允许这样做。更糟的是,其中许多设备无法修补.记得去年秋天Mirai僵尸网络感染了数十万个互联网数字录像机,网络摄像头和其他设备,并发起了大规模拒绝服务攻击,导致大量流行网站从互联网上退出?这些设备中的大多数一旦被攻击就不能用新软件修复。更新你的dvr的方法是扔掉它,买一个新的。

解决方案不容易,也不漂亮。市场不会独自解决这个问题。安全性是一项很难评估的功能,以应对未来可能出现的威胁,而且,消费者长期以来一直奖励那些提供易于比较的功能和以牺牲成本快速上市的公司。我们需要将责任分配给那些编写不安全的、危害人们的软件的公司,甚至可能发布和执行法规,要求公司在其整个生命周期内维护软件系统。我们可能需要关键物联网设备的最低安全标准。如果国家安全局更多地参与保护我们的信息基础设施,而更少地保护它的脆弱性,这样政府就可以窃听,这将有所帮助。

我知道这在政治上是不可能的,但是,我们不能生活在这样一个未来,从我们拥有的东西到我们国家的基础设施,所有的东西都可以被罪犯一次又一次地索要赎金。

这篇文章以前出现过华盛顿邮报.

发表于5月23日,2017年上午5:55查看评论

黑客威胁要删除苹果的客户数据

土耳其黑客威胁的删除数百万个iCloud用户帐户,除非苹果支付赎金。

这是个奇怪的故事,我对一些细节持怀疑态度。据推测,苹果公司已经决定,与其支付赎金,不如把钱花在安全备份和其他安全措施上。但我们将看到这是如何展开的。

发表于3月23日,2017年上午9:09查看评论

虚拟绑架

这是一个悲惨的故事一个骗局艺术家说服了一位母亲她的女儿被绑架。更多的故事是在这里.目前还不清楚这些虚拟绑匪是否使用了受害者的数据,或者随便打电话给别人,希望能走运。不过,这是对智能手机和无处不在的信息的新的犯罪使用。

这让我想起了那些在深夜给零售店的低工资工人打电话,说服他们做一些稀奇古怪的、偶尔危险的事情的骗子。

10月17日发布,2016年上午6:28查看评论

好的拍打故事

这个纽约时报杂志有一个好故事关于拍地,围绕着一个加拿大少年,他做了100多次。

12月14日发布,2015年5:46 AM查看评论

向某人索要密码

毒贩声称警方把他斜靠在18楼的阳台上,威胁说如果他不交出密码就要杀了他。其中一名警察证实了这一说法。

这就是所谓的“橡胶软管密码分析”。描述得很好这是XKCD卡通.

4月28日发布,2015年下午12:50查看评论

网络世界中的虚拟黑手党

如果你允许网络世界的玩家互相惩罚,你打开门敲诈以下内容:

在游戏中支持用户社交的功能之一是能够声明另一个用户是受信任的朋友。这个功能包括一个图形显示,显示了那些宣称你值得信赖的用户的脸,用绿色勾勒出来,连接在一个枢纽和辐条的模式,你的脸在中心。

[…]

就目前而言,这个功能还不错,但与其他社交网络不同,Sims在线允许用户声明其他用户也不可信。一个不值得信赖的用户的脸在一个用户中心所有值得信赖的脸上以鲜红色圈起来。

不久之后,一个自称为“西姆斯黑手党”的组织就想出了如何利用这个机制在新用户进入游戏时将其彻底击败。对话框将如下所示:

“嗨!我从你的中心看到你是新来的。把你所有的西摩人或朋友都给我,我就不可能租房子了。”

“你在说什么?”

“我是西姆斯黑手党的成员,我们都会认为你不可信,将您的集线器变为实心红色(没有更多的绿色空间)。没有人会和你一起玩。你有五分钟的时间来遵守。如果你认为我在开玩笑,看你的枢纽,我们三个已经把你标红了。别担心,我们会在你付钱的时候把它变绿……”

如果你认为这是一个有趣的游戏,再想一想,对这次调整的一个典型反应是用户决定这个游戏不值得每月10美元。玩偶屋通常不涉及流氓。

编辑添加(12/12):SIM Mafia存在的2004年。

11月25日发布,2009年上午6:36查看评论

乔·麦金尼斯的布鲁斯·施耐尔侧边栏照片。